• AggressivelyPassive@feddit.de
    link
    fedilink
    Deutsch
    arrow-up
    35
    ·
    9 months ago

    Leider ist das genau die Art von halber Sicherheit die ich von der Verwaltung gewohnt bin.

    Basics falsch machen, aber Hauptsache BSI Zertifikat.

  • gigachad@feddit.de
    link
    fedilink
    Deutsch
    arrow-up
    35
    arrow-down
    1
    ·
    9 months ago

    Wird eine persönliche Identifikation über den Online-Ausweis angefordert […] öffnen entsprechende Dienste-Anbieter die AusweisApp mit einem so genannten Deeplink.

    Dieser Deeplink beginnt mit den Zeichen (“eid://”) und öffnet üblicherweise die offizielle AusweisApp von Governikus. Ist diese jedoch nicht installiert, können andere Anwendungen entsprechende Links für sich beanspruchen und ihrerseits starten.

    lol das ist so bescheuert dass ich nicht anders als lachen kann

    …das Bundesamt für Sicherheit in der Informationstechnik (BSI) […] sieht die Verantwortung für die Sicherheit der Endgeräte jedoch primär bei den Nutzern.

    Ja ne ist klar. Ihr seid bestimmt die selben die ihre Apps auf Android 7 laufen lassen aber ein Android 13 ohne SafetyNet als unsicher einstuft

    wütendes schielen auf Banking apps

    • Senseless@feddit.de
      link
      fedilink
      Deutsch
      arrow-up
      10
      ·
      9 months ago

      Sag das nicht so laut. Bin ganz froh das meine Banking-App ohne Murren auf Graphene läuft.

    • Johanno@feddit.de
      link
      fedilink
      Deutsch
      arrow-up
      5
      ·
      9 months ago

      Soll heißen ich kann jede app die so einen deeplink sendet mit einer fakeApp überlisten und muss nicht einmal einen Ausweis haben.

    • dee_dirk@feddit.deOP
      link
      fedilink
      Deutsch
      arrow-up
      17
      arrow-down
      1
      ·
      edit-2
      9 months ago

      Ich finde das schon beachtlich: Die erste Reaktion des BSI ist ein schnödes Schulterzucken.

      • x1gma@lemmy.world
        link
        fedilink
        Deutsch
        arrow-up
        14
        ·
        9 months ago

        Das ist der normale Modus Operandi der BSI. Solange die technische Richtlinie erfüllt ist, ist alles tiptop, egal was passiert.

  • EunieIsTheBus@feddit.de
    link
    fedilink
    Deutsch
    arrow-up
    16
    ·
    9 months ago

    Ich hatte mich ja schon einmal über die Benutzung der online Funktion aufgeregt.

    Interessant fand ich auch den Rücksetzbrief selbst. Etwa ne halbe Seite Erklärung worauf ich alles bei dem Rubbelfeld beachten muss, dass es nicht beschädigt sein darf oder andere Anzeichen von Dritteinwirkung haben darf und was ich tun soll wenn doch. Danach folgt die Anleitung: Feld frei rubbeln und Code in App eingeben ODER mit dem Handy den offenen QR Code direkt neben dem Rubbelfeld einlesen…

  • muelltonne@feddit.de
    link
    fedilink
    Deutsch
    arrow-up
    17
    arrow-down
    2
    ·
    9 months ago

    Gegenfrage: Was soll das BSI denn tun, wenn Endanwender sich gefakte Apps installieren und dort ihre Zugangsdaten eingeben?

    • dee_dirk@feddit.deOP
      link
      fedilink
      Deutsch
      arrow-up
      13
      arrow-down
      1
      ·
      9 months ago

      Aus dem Artikel: “Der unter Laborbedingungen demonstrierte Angriff ist nur möglich, da sich der Online-Personalausweis beim Starten der AusweisApp auf eine technische Lösung verlässt, von der sowohl Google als auch Apple grundsätzlich abraten. Wird eine persönliche Identifikation über den Online-Ausweis angefordert – etwa beim Abruf des Punktstandes in Flensburg – öffnen entsprechende Dienste-Anbieter die AusweisApp mit einem so genannten Deeplink.”

      Hier ist durchaus Optimierungspotential.

      • lichtmetzger@feddit.de
        link
        fedilink
        Deutsch
        arrow-up
        8
        ·
        9 months ago

        auf eine technische Lösung verlässt, von der sowohl Google als auch Apple grundsätzlich abraten

        Gerade dazu ist aber leider keine Quelle verlinkt. Google promotet selbst die Verwendung von Deeplinks auf ihrer Ads-Plattform und in der Doku von Android steht auch nicht drin, dass man dieses Feature nicht nutzen sollte.

  • CodeSalat@feddit.de
    link
    fedilink
    Deutsch
    arrow-up
    6
    ·
    9 months ago

    Die “Lücke” die hier beschrieben wird, nutze ich als Feature, damit sich angeklickte YT Links in NewPipe statt Youtube öffnen, lol.

  • lugal@feddit.de
    link
    fedilink
    Deutsch
    arrow-up
    4
    ·
    9 months ago

    Solange das nur die guten Haker machen, ist doch alles in Ordnung. Oder hat sich schon ein böser Haker gemeldet, der das im Verborgenen gemacht und ausgenutzt hat?